Fügen Sie beliebigen Code in WordPress-Beiträge und -Seiten ein. Fügen Sie beliebigen Code in WordPress-Posts und -Seiten ein. Finden Sie die richtigen Dienste

Heute möchte ich Ihnen sagen, wie Sie am Beispiel von WordPress an der richtigen Stelle beliebigen HTML-Code hinzufügen können. Ob es sich um einen Zählercode oder einen Abonnementcode für Ihren Kanal, Ihre Werbung usw. handelt. Wir werden den Code über das Standard-WordPress-Widget einfügen.

WordPress - beliebigen HTML-Code hinzufügen.

Es ist immer notwendig, beliebigen HTML-Code einzufügen, ein schönes Abonnement für Ihren Kanal in der Seitenleiste zu erstellen oder einfach Text auf der Hauptseite zu platzieren. Es gibt viele Optionen, alles hängt von Ihren Anforderungen ab.

Neuere Versionen von WordPress verfügen bereits über ein integriertes Widget zum Hinzufügen von beliebigem HTML-Code, sodass keine separaten Plugins installiert werden müssen.

Um unseren Code hinzuzufügen, müssen wir im Admin-Bereich zur Registerkarte "Darstellung" -\u003e "Einstellungen" gehen. Es ist über Widgets möglich, aber dann werden wir das Ergebnis nicht sofort sehen. Ich bevorzuge einen visuelleren Editor.

Wir wählen den Ort aus, an dem wir unseren Code hinzufügen möchten. Ich möchte der Seitenleiste einen Spinner hinzufügen. Wir wählen "Seitenleiste", Sie haben möglicherweise einen anderen Namen, alles hängt von der Vorlage ab.

Ein neues Widget wird angezeigt. Öffnen Sie es und geben Sie unseren Code in den Inhalt ein. Vergessen Sie nicht, ihn zu speichern.

Als Ergebnis erhalten wir das folgende Ergebnis.

Auf diese Weise können Sie HTML-Code überall dort hinzufügen, wo Sie Widgets verwenden können.

Das ist alles, ich hoffe dieser Artikel war nützlich.

Eine kritische Sicherheitslücke in der Unternehmensversion des beliebten Versionskontrollsystems GitHub ermöglicht es jedem autorisierten Benutzer, beliebigen Code auf dem System auszuführen. Um diese Sicherheitsanfälligkeit auszunutzen, sind mehrere Techniken gleichzeitig erforderlich: Injektion in den Caching-Dienst und Objektinjektion.

Allgemeine Information

Die Addressable :: URI.parse-Methode analysiert die übergebene URL und vergleicht sie mit den RFC 3986-, RFC 3987- und RFC 6570-Spezifikationen. Dies bedeutet, dass wir Anforderungen an beliebige Server senden können. Es werden keine weiteren Adressprüfungen durchgeführt.

Nur wenn Sie versuchen, lokale Adressen localhost, 127.0.0.1 und dergleichen zu verwenden, gibt das System einen ungültigen Hostfehler zurück. Allerdings kein einziger Localhost! Dieser Fehler kann einfach umgangen werden, indem die Adresse 0.0.0.0 oder kurz 0 verwendet wird.

Mal sehen, wie es funktioniert. Lassen Sie uns Port 31337 (nc -lp 31337 -vvv) auf der virtuellen Maschine abhören. Erstellen Sie anschließend einen Webhook mit der URL http://0.0.0.0:31337/test. Nach dem Klicken auf die Schaltfläche "Hinzufügen" erhalten wir sofort eine Anfrage.

Wir können uns gratulieren, wir haben eine SSRF-Schwachstelle entdeckt. Ja, nicht einfach, aber es wird auch die Antwort des Servers angezeigt, wenn es sich um eine gültige HTTP-Antwort handelt.

Jetzt müssen Sie herausfinden, was Sie damit machen können.

Ich habe mich aus einem bestimmten Grund so sehr bemüht, zu localhost zu gelangen. GitHub Enterprise ist eine große und komplexe Anwendung, daher werden eine Reihe von Hilfsdiensten ausgeführt. Schauen Sie sich nur die Statusleiste an.

Hier haben wir Elastic, Redis und Memkesh. Wähle - ich will nicht!

Beginnen wir mit Memcached. Das Protokoll der Kommunikation mit ihm ist textuell, so dass Sie versuchen können, zu injizieren. Versuchen wir, die HTTP-Anforderungsaufteilung durchzuführen, indem Sie einen Hook mit Wagenrücklaufzeichen erstellen.

Http: // 0: 31337 / Hallo% 0D% 0Aworld

Es hat nicht geklappt. Okay, lassen Sie uns nicht verzweifeln, dieser Server hat noch etwas zu profitieren.

Suche nach geeigneten Dienstleistungen

Jetzt ist es an der Zeit, sich die offenen Ports anzusehen. Führen Sie den Befehl sudo netstat -anp | aus grep -i HÖREN.

Hier ist eine beeindruckende Liste von Diensten, die über das Netzwerk verfügbar sind. Dort kann man durchstreifen, sogar Port 1337 ist geöffnet 😉

Wenn Sie sich erinnern, sagte ich, dass Sie mit SSRF die Antwort lesen können. Dies kann bei Black-Box-Penetrationstests verwendet werden. Lassen Sie uns zum Beispiel sehen, was sich auf dem berüchtigten Port 1337 befindet. Erstellen wir einen Hook http: // 0: 1337 /, öffnen Sie ihn und scrollen Sie zu "Zuletzt gelieferte Lieferungen". Dort können Sie auf der Registerkarte Antwort die Antwort vom Server sehen. Wenn wir die Anfrage erneut senden möchten, steht Ihnen die Schaltfläche "Neu liefern" zur Verfügung.

Die Fortsetzung steht nur Mitgliedern zur Verfügung

Option 1. Treten Sie der "Site" -Community bei, um alle Materialien auf der Site zu lesen

Durch die Mitgliedschaft in der Community während des angegebenen Zeitraums erhalten Sie Zugriff auf ALLE Hacker-Materialien, erhöhen Ihren persönlichen kumulierten Rabatt und können einen professionellen Xakep-Score sammeln!

Wenn Sie beliebigen Code in Posts und Seiten Ihrer WordPress-Site einfügen müssen, können Sie das Plugin "Globale Inhaltsblöcke" verwenden. Das Plugin ist nicht schwer, es ermöglicht Ihnen, schnell und bequem HTML, PHP, beliebige Codes, Abonnementformulare, Adsense-Anzeigen, Textblöcke in einen Artikel oder eine Seite einzufügen. Mit seiner Hilfe können Sie PHP-Code in eine Site-Vorlage einfügen und Blöcke in zwei oder drei Spalten platzieren. Das Plugin wird ständig aktualisiert und kann als eines der besten WordPress-Plugins eingestuft werden.

Herunterladen und installieren

Wir gehen die Standardschritte durch. Wenn Sie Plugins von installieren, gebe ich die Adresse der offiziellen Seite des Plugins an: https://ru.wordpress.org/plugins/global-content-blocks/

Konfigurieren des Plugins für globale Inhaltsblöcke

Daher gibt es keine Plugin-Einstellungen. Nach dem Aktivieren des Plugins wird in der Konsole ein Menü angezeigt: Globale Inhaltsblöcke... Auf der Plugin-Seite sehen wir die Kontrollregisterkarten:

• Blöcke verwalten (1) - Plugin Block Management;
• Hinzufügen von Inhaltsblöcken (2) - Hinzufügen von Blöcken;
• Einstellung (3) - Import von Blöcken von einer anderen Site.

Außerdem wird im Site-Editor eine Schaltfläche zum Hinzufügen von Plugin-Blöcken angezeigt.

Schaltfläche zum Hinzufügen globaler Inhaltsblöcke im Editor

Betten Sie benutzerdefinierten Code mit dem Plugin "Globale Inhaltsblöcke" in WordPress-Posts und -Seiten ein

Es ist einfach mit dem Plugin zu arbeiten:

• Wir gehen zur Seite, um einen Block hinzuzufügen.
• Gib dem neuen Block einen Namen (1),
• Wir geben ihm einen lateinischen Namen für den Shortcode (2);
• Wählen Sie die Art des Inhalts (3);
• Sie können ein Bild (5) auswählen, das in den Block eingefügt wird.
• Fügen Sie den Inhalt des Blocks (4) ein.

Erstellen Sie neue globale Inhaltsblöcke

Hallo, alle miteinander! Für heute habe ich eine kleine Anleitung geplant - wie in einem Blog zeigen Sie beliebigen Code für Benutzer an, die von der Suche kommen irgendwo in der Vorlage.

Ich habe vor ein paar Monaten eine praktische Anwendung dieser Methode gefunden. Zu diesem Zeitpunkt zeigten Besucher von Suchmaschinen eine Einladungszeichenfolge unter der Überschrift an, um den Newsletter zu abonnieren.

Wie Sie sich vorstellen können, wurde die Zeile nur einmal angezeigt - beim ersten Übergang von der Suchmaschine verschwand sie beim Surfen durch die Seiten und erschien nicht mehr. Natürlich, wenn derselbe Benutzer nicht wieder zum Blog zurückgekehrt ist.

Ich habe als Beispiel ein Abonnement angegeben, aber Sie können auch die Anzeige von Anzeigenzeilen, Anzeigen usw. organisieren. Und natürlich ist der Speicherort nicht auf die Kopfzeile beschränkt, dieser Code kann an einer beliebigen Stelle in der Vorlage angezeigt werden. Kommen wir zum praktischen Teil der Skriptimplementierung.

Funktion, die die Quelle der Anforderung bestimmt (HTTP-Referer)

Zunächst erstellen wir eine neue Funktion aus der Suche (bedingte Übersetzung - "aus der Suche"). Der Name der Funktion kann beliebig sein. Die Hauptsache ist, den akzeptierten Namen zu berücksichtigen und in Zukunft zu verwenden. Diese Funktion ist für bestimmen der Quelle des Übergangs - sei es eine PS, eine andere Seite usw. Wir interessieren uns für PS. Fügen Sie unter WordPress den Code in die Vorlagendatei functions.php ein:

funktion fromsearch ()($ ref \u003d $ _SERVER ["HTTP_REFERER"]; $ SE \u003d array ("/ search?", "images.google.", "search.", "yandsearch", "/ search /", ".yahoo". ); foreach ($ SE als $ source) (if (strpos ($ ref, $ source)! \u003d\u003d false) return true;) return false;)

Bitte beachten Sie, dass in der dritten Zeile die Agenten angegeben sind, für die die Regel ausgeführt wird, und in Zukunft beliebiger Code angezeigt wird. Damit ist der Hauptteil abgeschlossen, die Funktion muss an jedem geeigneten Ort angezeigt werden.

Beliebige Code-Ausgabe beim Navigieren von Suchmaschinen

Der nächste Schritt besteht darin, die vordefinierte Funktion auf der Seite anzuzeigen. Dazu verwenden wir die folgenden Zeilen, die wir in die Vorlagendatei einfügen, zum Beispiel verwende ich index.php: